PDE の設定と構成
この記事では、個人データ暗号化 (PDE) の設定と、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します。
注
PDE は、MDM ポリシーを使用して構成できます。 PDE によって保護されるコンテンツは、PDE API を使用して指定できます。 Windows には、PDE を有効にするか、PDE を使用してコンテンツを保護するためのユーザー インターフェイスはありません。
PDE API を使用して、保護するコンテンツとコンテンツを保護するレベルを指定するカスタム アプリケーションとスクリプトを作成できます。 また、PDE API は、PDE ポリシーが有効になるまでコンテンツを保護するために使用できません。
PDE 設定
次の表に、PDE を有効にするために必要な設定を示します。
| 設定名 | 説明 |
|---|---|
| 個人データの暗号化を有効にする | PDE は既定では有効になっていません。 PDE を使用するには、その前に有効にする必要があります。 |
| 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする | Winlogon の自動再起動サインオン (ARSO) は、PDE で使用するためにサポートされていません。 PDE を使用するには、ARSO を無効にする必要があります。 |
PDE の強化に関する推奨事項
次の表に、PDE のセキュリティを向上させるための推奨設定を示します。
| 設定名 | 説明 |
|---|---|
| カーネル モードのクラッシュ ダンプとライブ ダンプ | カーネル モードのクラッシュ ダンプとライブ ダンプにより、PDE がコンテンツを保護するために使用するキーが公開される可能性があります。 最大限のセキュリティを確保するために、カーネル モードのクラッシュ ダンプとライブ ダンプを無効にします。 |
| Windows エラー報告 (WER)/ユーザー モードのクラッシュ ダンプ | Windows エラー報告を無効にすると、ユーザー モードのクラッシュ ダンプが防止されます。 ユーザー モードのクラッシュ ダンプにより、PDE がコンテンツを保護するために使用するキーが公開される可能性があります。 最大限のセキュリティを確保するために、ユーザー モードのクラッシュ ダンプを無効にします。 |
| 冬眠 | 休止状態ファイルは、個人データ暗号化 (PDE) によって使用されるキーが公開されるコンテンツを保護する原因となる可能性があります。 最大限のセキュリティを確保するために、休止状態を無効にします。 |
| コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする | このポリシーが参加済みデバイスMicrosoft Entra構成されていない場合、コネクト スタンバイ デバイスのユーザーは、デバイスのスリープ解除にパスワードが必要になるまでに、デバイスの画面がオフになった後の時間を変更できます。 画面がオフになっているが、パスワードが不要な間に、コンテンツを保護するために PDE によって使用されるキーが公開される可能性があります。 Microsoft Entra参加済みデバイスでこのポリシーを明示的に無効にすることをお勧めします。 |
Microsoft Intuneを使用して PDE を構成する
Microsoft Intuneを使用してデバイスを管理する場合は、ディスク暗号化ポリシー、設定カタログ ポリシー、またはカスタム プロファイルを使用して PDE を構成できます。
ディスク暗号化ポリシー
ディスク暗号化ポリシーを使用してデバイスを構成するには、[エンドポイント セキュリティ>ディスク暗号化] に移動し、[ポリシーの作成] を選択します。
- プラットフォーム>ウィンドウズ
- プロファイル>個人データの暗号化
名前を指定し、[ 次へ] を選択します。 [ 構成設定 ] ページで、[ 個人データ暗号化を有効にする ] を選択し、必要に応じて設定を構成します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
設定カタログ ポリシー
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| PDE | 個人データ暗号化を有効にする (ユーザー) | 個人データの暗号化を有効にする |
| Windows ログオン オプション > Windows コンポーネント > 管理用テンプレート | 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする | 無効 |
| メモリ ダンプ | ライブ ダンプを許可する | ブロック |
| メモリ ダンプ | クラッシュ ダンプを許可する | ブロック |
| Windows コンポーネント > Windows エラー報告>管理用テンプレート | Windows エラー報告を無効にする | 有効 |
| Power | 休止状態を許可する | ブロック |
| システム > ログオン>管理用テンプレート | コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする | 無効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
ヒント
次の Graph 呼び出しを使用して、割り当てやスコープ タグなしでテナントに設定カタログ ポリシーを自動的に作成します。
この呼び出しを使用する場合は、[Graph エクスプローラー] ウィンドウでテナントに対して認証を行います。 Graph エクスプローラー を初めて使用する場合は、アプリケーションがテナントにアクセスするか、既存のアクセス許可を変更することを承認する必要があります。 このグラフ呼び出しには 、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
CSP で PDE を構成する
または、 ポリシー CSP と PDE CSP を使用してデバイスを構成することもできます。
| OMA-URI | 形式 | 値 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
文字列 | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
文字列 | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
文字列 | <disabled/> |
PDE を無効にする
PDE を有効にした後は、無効にすることはお勧めしません。 ただし、PDE を無効にする必要がある場合は、次の手順を使用して行うことができます。
ディスク暗号化ポリシーを使用して PDE を無効にする
ディスク暗号化ポリシーを使用して PDE デバイスを無効にするには、[Endpoint security>Disk encryption]\(ディスク暗号化\) に移動し、[ポリシーの作成] を選択します。
- プラットフォーム>ウィンドウズ
- プロファイル>個人データの暗号化
名前を指定し、[ 次へ] を選択します。 [ 構成設定 ] ページで、[ 個人データ暗号化を無効にする] を選択します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
Intuneで設定カタログ ポリシーを使用して PDE を無効にする
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| PDE | 個人データ暗号化を有効にする (ユーザー) | 個人データ暗号化を無効にする |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
CSP で PDE を無効にする
次の設定を使用して、CSP で PDE を無効にすることができます。
| OMA-URI | 形式 | 値 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
PDE で暗号化されたコンテンツの暗号化を解除する
PDE を無効にしても、PDE で保護されたコンテンツの暗号化は解除されません。 PDE API が追加のコンテンツを保護できないようにするだけです。 PDE で保護されたファイルは、次の手順を使用して手動で暗号化解除できます。
- ファイルのプロパティを開く
- [全般] タブで、[詳細...] を選択します
- [コンテンツを暗号化してデータをセキュリティで保護する] オプションをオフにする
- [OK] を選択し、もう一度 [OK] を選択します
PDE で保護されたファイルは、 cipher.exeを使用して暗号化を解除することもできます。これは、次のシナリオで役立ちます。
- デバイス上の多数のファイルの暗号化を解除する
- 複数のデバイス上のファイルの暗号化を解除する
cipher.exe を使用してデバイス上のファイルの暗号化を解除するには:
サブディレクトリを含むディレクトリ内のすべてのファイルの暗号化を解除します:
cipher.exe /d /s:<path_to_directory>指定したディレクトリ内の単一のファイルまたはすべてのファイルの暗号化を解除しますが、サブディレクトリは暗号化解除しません:
cipher.exe /d <path_to_file_or_directory>
重要
ユーザーが手動でファイルの暗号化を解除することを選択すると、ユーザーは PDE を使用してファイルを手動で保護できなくなります。